确保你的WordPress网站的安全并不是一劳永逸的事情。不管你有多信任你的安全插件,或者你对网站的加固有多彻底,今天的网站安全并不代表明天的网站安全。为了防止黑客入侵,你必须定期进行WordPress安全检查及审计,填补你发现的安全漏洞。
网站黑客的策略总是在不断进步,随之而来的是保持你的网站安全的预防措施。把它看成是一个循环。一个网站越安全,黑客就越要有创造性地进入它,这意味着你的网站必须变得更加安全,以此类推。之前搬主题介绍过安全的文章【WordPress网站中毒或被黑客挂马清理修复全指南】。
争取至少每三个月进行一次WordPress安全审计。每个月更好,每周(甚至每天,取决于你的网站有多敏感)是最好的。当然,如果你觉得你的网站有什么问题,那就立即进行一次安全审计。以下任何一种情况都应该引起注意。
- 你的网站突然变得缓慢和迟钝。
- 网站流量无缘无故地大幅下降。
- 有新的账户、登录尝试或 “忘记密码 “请求。
- 你没有添加的新链接出现在你的网站上。
以下步骤是保持你的网站在安全方面处于最佳状态的必做之事。有了一份检查表,你将使你的审计工作精简,而不是压倒性的。
一、关于WordPress安全审计的概述
在某一点上,几乎每个WordPress网站都会遇到某种类型的安全问题。一个常见的问题是,一个插件或主题出现了漏洞,让黑客直接进入你的网站。一旦你的网站被黑,任何数量的事情都可能发生。
- 客户的个人数据被盗
- 显示非法的广告和内容
- 流量被转移到其他地方
- WordPress数据被加密、删除或出售
这不仅仅是一个令人头痛的问题,也不仅仅是一个瘫痪了几个小时的网站。黑客可以用你的数据来勒索赎金。你的网站的信息可以在暗网上出售。谷歌可以将你的网站列入黑名单,因为它在网页上显示垃圾邮件。如果客户的信用卡信息被盗,他们可以起诉你。一旦黑客获得了你的网站的访问权,其他网站也会被感染。
WordPress的安全审计可以识别这些漏洞,这样你就可以在黑客找到他们的方法之前,立即修补它们。你将确保你目前采取的安全步骤仍然有效,你也将找出你需要更多保护的地方。
二、评估你所使用的安全插件
你的WordPress安全插件是保护你网站的最重要工具之一。确保你的安全插件仍然在以下方面发挥作用。
- 活动日志。这可以跟踪你网站的用户,包括谁在什么时候登录,登录失败,以及网站的变化。
- 防火墙。这将阻止机器人、黑客和试图进入你的网站的IP地址。
- 登录尝试。高质量的安全插件将强制执行强大的密码,要求双因素认证并限制登录尝试。
- 登录保护。这可以阻止暴力攻击,也就是黑客尝试不同的用户名和密码组合来登录。
- 恶意软件扫描和清理。这应该每天运行,深入扫描你的网站的数据库、文件和文件夹中的恶意软件,并擦除它发现的任何东西。
- 实时警报。如果你的网站有任何可疑的情况,该插件应立即通知你。
还没有一个安全插件吗?考虑买一个,作为你的WordPress安全审计的第一步。可以参考这里【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程】
三、测试你的网站备份解决方案
如果你的网站出了什么问题,不可能或太复杂而无法修复,有一个WordPress备份意味着你可以把你的网站恢复到问题发生前的状态。然而,如果你的备份失败了,那么你就没有什么可以恢复的了,这意味着你可能被困在一个被感染或故障的网站里。理想情况下,你将使用一个备份解决方案(无论是由你的主机提供的还是你使用的插件),允许你测试你的备份,如BlogVault。你也可能想阅读我们的文章,其中有6个最好的WordPress备份插件。
四、仔细检查你的WordPress管理和FTP设置
有了WordPress,你可以让多个人登录到各种项目上工作,但这并不意味着每一个有登录资格的人都应该完全访问你的网站。而当涉及到你的FTP客户端时,允许多人访问意味着他们可以对你的网站的……嗯,一切进行修改。
当你在WordPress中添加一个新用户时,你会给他们分配一个角色(你也可以编辑他们的资料来改变他们的角色)。
不同的角色有不同的能力。例如,管理员可以访问网站的所有管理工具(如改变主题或安装插件),但贡献者只能编写和管理自己的文章。这里有一个关于不同角色及其能力的全面细分。
对于你的WordPress安全审计,请做以下工作。
- 看看哪些WordPress用户有管理级别的权限。
- 决定是否所有这些用户都需要这个级别的访问权限(以及其他拥有有限访问权限的用户是否应该成为管理员)。
- 通过更新这些人的用户角色来降低权限和限制访问。
- 如果你不认识仪表板上的用户,请删除它们–它们可能是由黑客创建的账户。
- 是否有任何用户名只是 “admin”?这是一个太常见的用户名,也是一个黑客经常试图用来访问你的网站的用户名。为这个人创建一个新的用户账户,并删除旧的账户。
- 删除那些不需要那么高权限的用户的FTP账户。
最后,如果你的网站允许会员,你要确保他们在注册时必须实际创建一个账户,而且他们的默认角色不允许管理员访问。进入设置>常规。取消勾选 “任何人都可以注册 “旁边的方框。然后,选择新用户默认角色下的适当选项。
五、确保WordPress是最新的
你可能会让它自动运行,但还是要仔细检查WordPress是否已经更新到最新的版本。更新不只是修补安全漏洞–它们还改善性能和增加功能。进入仪表板>更新,看看是否已经准备好了。
六、清理你的插件和主题
插件可以扩展你网站的功能,但它们也很容易受到攻击,特别是如果它们太久没有更新的话。可靠的开发者会一直关注他们的插件的漏洞,并发布带有补丁的更新。在你的WordPress安全更新期间,前往你的插件列表,做以下工作。
- 停用和卸载任何你不再使用的或你不认识的插件。
- 更新其余任何准备好更新的插件。
- 如果你使用的插件一直没有收到开发商的更新,考虑使用另一个具有相同功能的插件–一个过时的插件太容易出现安全问题了。
即使你每个月做一次WordPress的安全审计,更经常地检查你的插件以根据需要更新它们也是一个好主意。另外,删除任何你目前不使用的或预计不需要的主题。就像插件一样,主题也会带来安全漏洞的风险,所以最好是让你的网站尽可能不存在杂乱的主题。
七、最后总结
你不会停止在你业务的其他部分工作 – 想出新的产品或服务,营销它们,销售,等等。你的网站安全也不应该有什么不同。如果你不及时发现,一个小问题可以迅速导致一个威胁业务的黑客,但如果不知道问题所在,你就不知道该实施哪些修复措施。
保持你的网站安全是一个持续的过程,有一个可用的WordPress安全审计清单,可以省去你试图记住每个月做什么的麻烦。另外,你能用安全插件自动处理的事情越多越好。如果你要做的大部分事情是反复检查插件是否仍在正常运行,那么你的WordPress安全审计清单就会小得多。我们对两个领先的安全插件Sucuri和Wordfence进行了深入的概述和评论。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容